美國囚犯用甚麼方法,利用平板電腦盜取22.5萬美元?

Nicholas Yau
Jul 30, 2018 · 3 min read

近日看到傳媒報導,關於美國愛達荷州懲教處,一班囚犯利用平板電腦的保安漏洞,364名囚犯集體騙取合共22.5萬元,並轉帳到他們的的帳戶當中。這次事件媒體都只有簡短的報導,至於囚犯利用甚麼技術則沒有提及。在好奇心的驅使下,我嘗試在網上搜尋資料,希望可以了解這次事件,到底囚犯是用了甚麼方法去騙取金錢呢?

翻查資料,其實早在數年前,美國就已經開始向囚犯提供平板電腦的服務。而這項計劃是由一間名為 JPay 的公司營運的。JPay 的服務主要是為美國的監獄提供型號 JP5mini 的平板電腦。JP5mini 是採用安卓系統 Android,而 JPay 以售價約 70 美元一台賣給獄中囚犯,為他們提供娛樂。其實 JPay 一直都因收費過高而招致大量批評,因為囚犯購買 JP5mini 之後,要下載應用程式或遊戲,還需要額外付費的。囚犯的家人需要利用 JPay 網站的 Send Money 功能,為獄中的使用者帳戶充值,囚犯收到充值金額後,就可以下載自己所需的應用程式。

那麼這次囚犯是利用甚麼方法騙取金錢的呢?首先 JP5 平板電腦是不能直接連到互聯網的。用戶需要利用獄中的無線網絡,再利用 JPay 的 App Manager 下載軟件或歌曲作離線使用。在程式開發設計時,考慮到大多數時間用戶都是離線操作,因此大部份資料,例如 App 的購買目錄、售價、甚至是囚犯的帳戶資料及結餘金額,都是直接記錄在平板電腦本機的資料庫中。

大家試想一下,假如你利用手機存取網上銀行服務,而你的帳戶結餘,是記錄在你的手機,而不是在銀行的資料庫中,只要你能破解手機內的資料,你就能隨意增加帳戶結餘,變成億萬富翁並非難事。而這次囚犯就是利用這原理,破解並修改了本機內的帳戶結餘,之後他們就可以瘋狂購買歌曲及遊戲了。幸好,這次漏動只限於修改結餘來下載應用,犯人不能將修改的金錢匯出到其他地方去,否則 JPay 這次損失就會更大了。

開發手機應用程式,為了提升效能及離線支援,將部份資料暫存到手機的數據庫是很普遍的事情。但是在交易時,必定會有機制去核實線上伺服器的資料,是否跟你提供的資料敏合,例如核對 App 的售價,以及用戶結餘等。只要有不符合的地方,就馬上封鎖帳戶。JPay 作為監獄的平板電腦供應商,卻犯了這種錯誤,實在有必要認真檢討一下。


Originally published at Nicholas.hk.

Nicholas Yau

Written by

喜歡電腦科技、遊戲、攝影、音樂。過往曾經從事攝影工作及撰寫專欄文章。近年回歸IT行業,努力學習中, 志願協助於開源社群及IT技術分享的工作。

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade